Una notizia che ha dell’incredibile, probabilmente ne avete già sentito parlare in queste ore. La University of Minnesota non potrà più inviare patch per il kernel Linux in seguito alla pubblicazione volontaria di patch contenenti vulnerabilità nel ramo stabile del kernel. Avete capito bene.
UMN: basta sporcare Linux
L’università a febbraio ha pubblicato una ricerca dal titolo “Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits”. Hanno svolto una ricerca che riguardava l’inserimento intenzionale di falle nel ramo principale del kernel Linux. In particolare, si è trattato di vulnerabilità Use-After-Free che riguardano un errato uso della memoria. Se dopo aver liberato una posizione di memoria, un programma non cancella il puntatore a quell’indirizzo, un malintenzionato può sfruttare l’errore per hackerare il programma stesso.
Dopo aver pubblicato il documento sopra citato i ricercatori hanno prodotto un’ondata di patch buggate attraverso un tool automatico. I manutentori hanno quindi dovuto perdere tempo prezioso per verificare del codice inutile. La storia non è piaciuta a Greg-Kroah-Hartman, mantainer del kernel, che ha optato per rimuovere tutti i commit provenienti da indirizzi @umn.edu, anche perché l’ateneo non ha fatto nulla per fermare i propri ricercatori.
Lo scontro Hartman – Pakki
Il dottorando Aditya Pakki ha cercato di difendersi:
Greg, vi chiedo rispettosamente di cessare e desistere dal fare accuse selvagge […] Queste patch sono state inviate da un nuovo analizzatore statico che ho scritto e la sua sensibilità ovviamente non è eccezionale. Ho inviato le patch nella speranza di ottenere dei feedback […] Ovviamente, abbiamo compiuto un passo falso, ma i tuoi pregiudizi sono così forti, fai accuse senza merito né ci dai alcun beneficio del dubbio. Non invierò più patch per l’atteggiamento non solo sgradito ma anche intimidatorio per neofiti e non esperti.
Hartman ha ribattuto stizzito:
Tu e il tuo gruppo avete ammesso pubblicamente di aver inviato patch con bug noti per vedere come reagirebbe la comunità del kernel, e avete pubblicato un documento basato su quel lavoro. Ora invii di nuovo una nuova serie di patch, ovviamente errate, cosa dovrei pensare di una comportamento del genere?
Hartman si è arrabbiato perché i mantainer sono stati costretti a sistemare patch che non risolvevano alcun problema.
Per questo motivo, ora dovrò bandire tutti i contributi futuri dalla vostra Università ed eliminare i contributi precedenti, poiché sono stati ovviamente presentati in malafede con l’intento di creare problemi. Se desideri lavorare in questo modo, ti suggerisco di trovare una comunità diversa su cui eseguire i tuoi esperimenti, non sei il benvenuto qui.
ha concluso Hartman.
Tutti i commit provenienti da indirizzi @umn.edu sono quindi stati rimossi, anche perché l’ateneo non ha fatto nulla per fermare i ricercatori dal proseguire sulla loro strada.
E la community?
In molti si sono detti d’accordo con Hartman, soprattutto i mantainer del kernel, indignati dall’atteggiamneto dell’università. Queste le parole di Floyd di Red Hat:
This is worse than just being experimented upon; this is like saying you’re a “safety researcher” by going to a grocery store and cutting the brake lines on all the cars to see how many people crash when they leave. Enormously unethical; I hope @UMNews has an IRB that takes note!
— Jered Floyd (@jeredfloyd) April 21, 2021
Altri, come Brad Spengler, presidente di Open Source Security Inc., hanno ritenuto eccessiva la reazione da parte dei manutentori del kernel Linux. Perché rimuovere anche i commit più vecchi rispetto alla pubblicazione della ricerca?
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.